Cybersecurity -onderzoekers hebben een kwaadaardig pakket onthuld dat is geüpload naar de Python Package Index (PYPI) -repository die is ontworpen om handelsorders op de MEXC Cryptocurrency Exchange naar een kwaadaardige server te leiden en tokens te stelen.
Het pakket, CCXT-Mexc-Futures, beweert een extensie te zijn die is gebouwd bovenop een populaire Python-bibliotheek genaamd CCXT (kort voor cryptocurrency-uitwisselingshandel), die wordt gebruikt om verbinding te maken en te handelen met verschillende cryptocurrency-uitwisselingen en vergemakkelijkt de betalingsverwerking.
Het kwaadaardige pakket is niet langer beschikbaar op PYPI, maar statistieken over Pepy.Tech laten zien dat het minstens 1.065 keer is gedownload.
“De auteurs van het kwaadaardige CCXT-Mexc-Futures-pakket, beweren in zijn ReadMe-bestand dat het het CCXT-pakket uitbreidt ter ondersteuning van ‘Futures’ Trade op MEXC,” zei Jfrog-onderzoeker Guy Korolevski in een rapport gedeeld met het Hacker News.
Een dieper onderzoek van de bibliotheek heeft echter onthuld dat deze specifiek twee API’s overschrijft die zijn gekoppeld aan de MeXC -interface – contract_private_post_order_submit en contract_private_post_order_cancel – en een nieuwe introduceert met de naam Spot4_Post_Post_Order_Place.
Daarbij is het idee om ontwikkelaars te misleiden om deze API -eindpunten te bellen om een handelsorder te maken, te annuleren of te plaatsen op de MEXC -uitwisseling en heimelijk kwaadaardige acties op de achtergrond uit te voeren.
De kwaadaardige wijzigingen zijn met name gericht op drie verschillende mexc-gerelateerde functies die aanwezig zijn in de originele CCXT-bibliotheek, namelijk. ֵ Beschrijf, onderteken en preparaat_request_headers.
Dit maakt het mogelijk om willekeurige code uit te voeren op de lokale machine waarop het pakket is geïnstalleerd, waardoor een JSON-payload effectief wordt opgehaald uit een nep-domein die zich voordoet als MEXC (“v3.Mexc.Workers (.) Dev”), die een configuratie bevat om de overschide API’s te leiden tot een kwaadaardig derde stuk platform (“Greentree (.)
“Het pakket creëert inzendingen in de API voor MEXC -integratie, met behulp van een API die verzoeken naar de domein greentreeone (.) Com, en niet de mexc -site mexc.com,” zei Korolevski.
“Alle verzoeken worden doorgestuurd naar het domein dat door de aanvallers is ingesteld, waardoor ze alle crypto -tokens van het slachtoffer en gevoelige informatie kunnen kapen die in het verzoek zijn overgedragen, inclusief API -toetsen en geheimen.”
Bovendien is het frauduleuze pakket ontworpen om de MEXC API-sleutel en geheime sleutel naar het aanvallergestuurde domein te verzenden wanneer een verzoek wordt verzonden om een bestelling te maken, te annuleren of te plaatsen.
Gebruikers die CCXT-Mexc-futures hebben geïnstalleerd, worden aanbevolen om potentieel gecompromitteerde tokens in te trekken en het pakket met onmiddellijke ingang te verwijderen.
De ontwikkeling komt wanneer Socket onthulde dat dreigingsactoren gebruik maken van namaakpakketten in NPM-, PYPI-, GO- en Maven -ecosystemen om een omgekeerde shell te lanceren om persistentie te behouden en gegevens te exfiltreren.
“Ongevredigende ontwikkelaars of organisaties kunnen onbedoeld kwetsbaarheden of kwaadwillende afhankelijkheden in hun codebasis opnemen, wat gevoelige gegevens of systeemsabotage kan mogelijk maken,” zei het Software Supply Chain Security Company.
Het volgt ook nieuw onderzoek dat duikt in hoe grote taalmodellen (LLMS) die generatieve kunstmatige intelligentie (AI) -hulpmiddelen aandrijft, de softwarevoedingsketen in gevaar kan brengen door niet-bestaande pakketten te hallucineren en hen aan te bevelen aan ontwikkelaars.
De supply chain-dreiging speelt in het spel wanneer kwaadwillende acteurs malware-geregen pakketten registreren en publiceren met de hallucinated namen om open-source repositories te openen, die in het proces ontwikkelaarssystemen infecteren-een techniek die Slopsquats wordt genoemd.
Uit de academische studie bleek dat “het gemiddelde percentage hallucinated pakketten ten minste 5,2% is voor commerciële modellen en 21,7% voor open-source modellen, waaronder een verbluffende 205.474 unieke voorbeelden van hallucineerde pakketnamen, die de ernst en de alomtegenwoordigheid van deze dreiging verder onderstrepen.”
